internetul Windows. Android
Extinde
principalul

Funcțiile modulului TPM. Ghid pas cu pas pentru utilizarea serviciilor TPM în Windows Vista

Modulul de platformă de încredere sau TPM (modulul de platformă de încredere) - acesta este un microcip separat bord de sistem Computer, care efectuează o gamă specifică de sarcini asociate criptografiei și protecției computerului.

De exemplu, folosind un criptoprocesor TPM, puteți cripta hard diskul computerului. Bineînțeles că o poate face cPUDar atunci va trebui să îndeplinească mai multe sarcini, iar viteza de criptare și decriptarea vor fi mult mai mici. Hardware, criptare implementată în modulul TPM apare aproape fără pierderea performanței.

Decriptarea este uneori numită incorect principhering. Diferența dintre ele este că atunci când decriptarea, algoritmul și cheia secretă sunt cunoscute, care sunt date criptate și când decriptarea - nr.

De asemenea, TPM poate proteja acreditările și pot verifica programele care rulează în sistem. Previne infecția cu rootkats și bokozi (soiuri programe rău intenționatecare pătrunde în computer înainte de descărcare sistem de operare Sau să-și ascundă prezența în sistem și, prin urmare, nu poate fi recunoscută de sistem), urmând configurația calculatorului, nu se schimbă fără cunoștințele unui utilizator.

În plus, fiecare modul criptografic TPM are un identificator unic care este înregistrat direct în microcircuit și nu poate fi schimbat. Prin urmare, criptociperul poate fi utilizat pentru a autentifica la accesarea rețelei sau a oricărei aplicații.

TPM poate genera taste persistente de criptare atunci când este necesar de către sistemul de operare (OS).

Dar înainte de a utiliza modulul TPM, acesta trebuie să fie configurat. Setarea modulului este redusă la câteva acțiuni simple.

  • În primul rând, cipul trebuie să fie activat în Computer BIOS. (dacă nu este activată).
  • În al doilea rând, trebuie să deveniți proprietarul său la nivelul sistemului de operare.

Luați în considerare acești pași în detaliu.

1 Pornirea modulului TPMÎn Biosul informaticii.

Pentru a activa modulul, mergeți la BIOS și mergeți la secțiunea de siguranță. Deși BIOS pot diferi semnificativ diferite computereDe regulă, o secțiune cu setările de securitate se numește "Securitate". Această secțiune ar trebui să aibă o opțiune numită "cip de securitate".

Modulul poate fi în trei stări:

  • Dezactivat (dezactivat).
  • Incluse și nu sunt implicate (inactive).
  • Activat și activat (activ).

În primul caz, nu va fi vizibil în sistemul de operare, în al doilea - acesta va fi vizibil, dar sistemul nu o va folosi, iar în al treilea - cipul este vizibil și va fi utilizat de sistem. Instalați starea "activă".

Imediat în setările puteți curăța cheile vechi generate de cip.


Curățarea TPM poate fi utilă dacă doriți, de exemplu, doriți să vă vindeți computerul. Rețineți că cheile, nu veți putea restabili datele codificate de aceste taste (dacă, desigur, vă criptați hard disk-ul).

Acum salvați modificările ("Salvați și ieșiți" sau tasta F10) și reporniți computerul.

După descărcarea computerului, deschideți managerul de dispozitiv și asigurați-vă că modulul de încredere apare în lista de dispozitive. Trebuie să fie în secțiunea "Dispozitive de securitate".

2 Initializarea modulului TPM.În ferestre.

Rămâne să inițializați cipul în sistemul de operare. Pentru a face acest lucru, deschideți instrumentul de control al modulelor TPM. Apăsați butoanele Windows + R. (Urmați fereastra "Run"), introduceți câmpul de introducere TPM.MSC și faceți clic pe "Enter". Echipamentul de rulare va începe "Gestionarea unui modul de platformă de încredere (TPM) pe un computer local".

Aici, apropo, puteți citi informații suplimentare - Ce este TPM atunci când trebuie să fie pornit și oprit, să schimbați parola etc. Un ciclu bun de articole dedicate TPM se află pe site-ul Microsoft.

În partea dreaptă a aderării există un meniu de acțiune. Faceți clic pe "Inițializați TPM ...". Dacă această caracteristică nu este activă, atunci cipul dvs. este deja inițializat. Dacă nu este inițializată și nu cunoașteți parola proprietarului, este recomandabil să resetați și să curățați memoria modulului, așa cum este descris în paragraful anterior.


Când se pornește expertul de inițializare TPM, acesta va fi solicitat să creați o parolă. Selectați opțiunea "Creați automat parola".


Programul de inițializare al modulului TPM va genera o parolă. Salvați-l în fișier sau imprimați-l. Acum faceți clic pe "Inițializați" și așteptați un pic.


La finalizare, programul va raporta o inițializare a modulului de succes. După finalizarea inițializării, toate etapele ulterioare cu un modul - închiderea, curățarea, recuperarea datelor în caz de defecțiuni, resetarea blocării - va fi posibilă numai cu ajutorul unei parole pe care tocmai ați primit-o.


Acum, acțiunea de inițializare a devenit inactivă, dar are posibilitatea de a dezactiva TPM, schimbarea parolei proprietarului și de a reseta blocarea modulului, dacă acest lucru se întâmplă (modulul se blochează pentru a preveni frauda sau atacurile).


De fapt, acest capăt capabilităților modulului TPM. Toate operațiunile ulterioare care vor necesita posibilitatea cipului vor apărea automat - transparente la sistemul de operare și neobservate pentru dvs. Toate acestea trebuie implementate în software. În sistemele de operare mai recente, cum ar fi Windows 8 și Windows 10, capabilitățile TPM sunt utilizate mai larg decât în \u200b\u200bsistemul de operare mai în vârstă.

Filosofii din trecut au iubit să raționeze despre libertate. "Cei care sunt gata să-și dea libertatea de a dobândi o protecție de scurtă durată împotriva pericolului, fără libertate, nici o garanție merită", a spus Benjamin Franklin. "O persoană nu poate fi un sclav, apoi liber. El sau liber - sau nu este deloc ", a spus Jean-Paul Sartre categoric. "Libertatea este nevoia necesară"Citatul marxiștilor Benedict Spinozei.

Ce este libertatea? Este important să fii liber și este gata să schimbe libertatea de siguranță? Reflecția asupra acestui subiect a fost împinsă de motivul care nu este dezactivat de publicul larg. În vara acestui an, votul Comitetului tehnic JTC1 privind aprobarea a fost finalizat, în procedura prescrisă PAS, noua versiune a ISO / IEC 11889: 2015, care a prezentat consorțiul Grupul de Computere de Trusted (TCG), bazat pe american Companii AMD, Cisco, HP, IBM, Intel, Microsoft și Wave Systems. Și 29 iunie în Portland (Oregon) TCG a anunțat că standardul său de platformă de încredere (TPM) 2.0 a fost aprobat în cele din urmă ca unul internațional.

Avantajele TPM.

TPM este numele specificației care descrie cheia criptografică în care sunt stocate cheile criptografice pentru a proteja informațiile. Se poate spune mai ușor: acesta este un modul de securitate a informațiilor care poate fi instalat în servere, calculatoare personale, Rețea I. dispozitive mobile. Acesta acceptă certificarea la distanță care oferă comunicare cu hardware și software de calculator.

Modulul este convenabil pentru suporturile drepturilor de autor, deoarece vă permite să verificați licențierea software-ului, să controlați copierea ilegală a muzicii, filmelor sau jocuri pe calculator. Acesta determină cu siguranță calculatorul și vă permite să autentificați utilizatorul. În același timp, TPM face posibilă generarea tastelor, are funcții de hashing, generând numere aleatorii.

Capacitățile hardware TPM sunt foarte limitate de energie și nu permit criptarea directă a unor cantități mari de date la viteză mare. Funcția de criptare în masă a fișierelor pe discuri poate fi efectuată de program. Windows BitLocker.. În acest caz, criptocluculele utilizate sunt criptate cu TPM, ceea ce elimină probabilitatea furtului lor.

Astfel, TPM poate cripta discul cu Windows BitLocker într-un pachet, protejează datele atunci când pierd sau fura calculatorul, de la modificarea și deteriorarea virușilor, precum și programele bancare și poștale.

Modulul este capabil să confirme autenticitatea calculatorului și chiar și performanța acestuia chiar înainte de a accesa rețeaua. În general, aceasta îmbunătățește semnificativ siguranța utilizatorilor, în special a celor care înțeleg problemele IB și nu le pot rezolva pe cont propriu.

Într-adevăr, chestia TPM este importantă și utilă. Îmbunătățind semnificativ securitatea utilizatorilor. Dar apare problema prețului de securitate. Dacă o persoană stabilește o cameră web în casa lui, el îmbunătățește siguranța locuințelor sale. Se poate controla tot timpul apartamentul și provoacă poliția în cazul apariției hoților. Dar dacă interceptează capacitatea de a controla camera web, atunci se poate transforma într-un dispozitiv de supraveghere. Informații colectate despre o persoană - respectiv în mijloace de control și de gestionare. Și în Cameră, totuși, curând în închisoare, apartamentul în sine se întoarce.

Poziționați Germania

Rezultatul de vot al Comitetului Tehnic ISO / IEC1 JTC1 a fost previzibil. Aproape a votat Germania. Rusia sa abținut, cu toate acestea, vocea ei "împotriva" încă nu a hotărât nimic. Cel mai susținut poziția americanilor. Acțiunea fără precedent nu a fost ajutată și buletinul informativ al comisiei scrisorii închise de la reprezentanții oficiali ai Ministerului Afacerilor Interne și al Ministerului Federal al Economiei și Energiei din Republica Federală Germania, cu o cerere de "îngropa" proiectul . Informațiile despre acest document s-au scurs la sigiliul german și au făcut o mulțime de zgomot.

La nivel de stat, prezența unei astfel de scrisori a fost respinsă de autoritățile germane, totuși, altceva poate fi așteptat de la puterea oficială. În textul scrisorii germane, care este disponibil la dispoziția Oficiului Editorial și în autenticitatea căreia nu avem niciun motiv să se îndoiască, este scris că "... Specificația prezentată în proiectul de standard nu este suficientă pentru ia o decizie; În special, ca urmare a unei examinări atente a problemei, avem motive să credem că implementarea lor poate agrava în mod semnificativ posibilitatea de a gestiona sistemul TIC protejat, precum și potențial duce la situații de blocare completă a sistemului efectuat în interesele unor producători de echipamente de calcul. În plus, considerăm că impactul potențial al specificațiilor propuse pentru nivelul confidențialității datelor cu caracter personal și securitatea IT poate fi foarte problematic și ne este frică că acest lucru va fi contrar normelor relevante ale legislației germane ".

În același timp, specialiștii germani IB nu s-au opus în principiu TPM. Acestea au fost mulțumiți de standardul TPM precedent 1.2, în care utilizatorul a părăsit controlul complet asupra platformei sale. Modulul TPM a fost ușor de dezactivat. În standardul TPM 2.0, acest lucru nu va funcționa.

În plus, acestea au provocat frica de abordarea de aliniere a dezvoltării unui standard în care au participat numai companiile americane. Jurnaliștii Zeit au raportat că guvernul german încearcă să participe la dezvoltarea TPM 2.0, dar a primit un refuz. De asemenea, au subliniat cooperarea activă a dezvoltatorilor Academiei Naționale de Științe Unite și a condus evaluarea siguranței TPM 2.0 de către experți independenți. Publicația a avertizat că TPM poate fi privit ca un backdoor și există o mare probabilitate ca accesul la chei criptografice să aibă un NB.

Imagini și ferestre

Experții biroului german de securitate federal din tehnologia Informatiei (BSI) alarmat că, cu tranziția la specificația TPM 2.0, acest standard devine obligatoriu pentru toate dispozitivele din Windows 8.1 și mai mare, iar această funcție nu este supusă dezactivării.

De fapt, computerul cu TPM 2.0 nu poate fi vizualizat ca un dispozitiv sub controlul întregului utilizator. Preocupat de faptul că Windows 8 cu TPM 2.0 poate permite Microsoft să controleze computerul de la distanță prin mișcarea neagră încorporată.

Experții chinezi au citit, de asemenea, despre avertizarea germană. Ei au investigat problema, au dat seama în detaliu și au decis. În mai 2014, agenția guvernamentală chineză Xinhua a raportat interzicerea instalații Windows. 8 pe computerele guvernamentale. Acestea sunt cele mai probabile calculatoare care aparțin nu numai statului, ci și structurilor pe care statul le este controlat - cele mai mari bănci, întreprinderile din sfera IB, Telecom, precum și alte companii care doresc să urmeze recomandările guvernului lor .

Într-un alt document intern, BSI primită de ediția germană spune: "Windows 7 poate fi gestionat în siguranță până în 2020. După aceea, ar trebui găsite alte soluții care administrează sistemele IT". Și pe site-ul BSI este scris în mod direct că mecanismul windows de lucru 8 cu TPM 2.0, "poate fi folosit pentru sabotaj de la terți" și că experții consideră că aplicarea inacceptabilă a noii versiuni a TPM de către organizațiile guvernamentale și obiectele unei infrastructuri critice. Deci, se pare, germanii și chinezii nu se vor grăbi să actualizeze Windows 7 în sectorul public chiar înainte de Windows 8.

Poziția Rusiei

Pentru a afla poziția Rusiei, am adresat experților Comitetului Tehnic ISO / IEC1, Aquarius rus și companiilor Kramftvay și Microsoft, cu o cerere de a comenta gravitatea preocupărilor Germaniei și Chinei cu privire la noul standard.

Din păcate, experți sau ignorați întrebările noastre sau au declarat că le refuză să răspundă. Singurul specialist care a fost de acord cu interviurile este un expert independent privind securitatea sisteme automate Control Vadim Podolic..

Ce este bun și ce este periculos TPM?

TPM, fie că este cel mai comun TPM 1.2 sau un TPM 2.0 introdus, acesta este un standard tehnologic promovat de companiile americane majore. În esență, TPM este un modul separat care se integrează în computere.

Acum, în plus față de PC-uri, servere, terminale, routere de rețea, există încă multe componente noi conectate la rețea. Acestea sunt controlorii pentru automatizarea industrială, Internetul lucrurilor, dispozitivele responsabile pentru sănătatea umană sunt stimulatoare stimulatorilor, glucișttre construite în ore ... datorită intervenției hackerilor, pot lucra în mod fals sau, dimpotrivă, nu funcționează în mod fals. Modulele de încredere TPM rezolvă o sarcină importantă - încredere în date, încredere în sistem, confirmând că va funcționa corect.

Ideea TPM este corectă. Trebuie să existe module standard care să ofere importanța juridică a informațiilor. Conceptul în sine este după cum urmează: faceți un modul dificil de a face hackeri și pentru a face doar un stat major. Este ca o factură ca o metodă de protecție a banilor. Nu este nimic gresit.

Întrebarea este diferită. În Windows 7 a fost pictograma "Computerul meu". În Windows 10, se numește "acest computer". Acesta nu este calculatorul dvs. Impunem tehnologii care să ofere securitatea noastră indiferent dacă vrem acest lucru sau nu. Se pare că statul introduce o lege uscată și spune că acum nu veți fi beți, deoarece o societate are nevoie de soldați sănătoși. Deci aici.

Dacă computerul dvs. captează, atunci are nevoie de cineva pentru ceva. Este posibil să vă urmați. Dacă nu puteți dezactiva această funcție, atunci acesta nu este un mijloc de protecție. Acesta este un mijloc pasiv de atac. Colecția de informații este o căutare pentru un punct pentru un atac. Microsoft selectează computerul pentru banii dvs. Ea îți vinde sistemul de operare și preia controlul asupra ta.

Este posibil să verificați dacă există backdoor în modulul TPM sau nu?

Puteți analiza standardul. Dar când un computer vine la tine, în carui placa de bază Modulul TPM, produs nu în întreprindere, pe care îl controlați, - nu știți ce este înăuntru. Pot adăuga ceva.

Dar puteți adăuga un marcaj la orice procesor sau controler?

Da, desigur. Și abordarea ar trebui să fie aceeași. În sistemele militare, autoritățile de reglementare nu vor fi permise niciodată să aplice cipul realizat de un necunoscut de cine chiar în conformitate cu standardul deschis. Prin urmare, avem procesatori "Baikal" și "Elbrus". Forțele de inginerie rusești sunt suficiente pentru a vă proiecta TPM-ul. În timp ce nu putem face în fabricile noastre. Ca și procesorul. Dar putem proiecta și apoi verifică dacă am fi făcut așa cum avem nevoie, sau ceva adăugat acolo. Un astfel de mecanism va permite deja TPM.

Și ce ar trebui să facem acum, când nu avem TPM-ul tău?

Analogii TPM utilizați, în multe privințe, realizând rolul său, sunt module hardware pentru încărcarea de încredere. Ele sunt folosite chiar și acum când a apărut TPM pe plăci de bază.

Posibilitatea modificării BIOS a apărut, de asemenea, a apărut o tehnologie UEFI, un standard care vă permite să creați module de încărcare de încredere programatic. De fapt, ele pot găzdui programe care să emită lucrarea TPM, care se face în multe evoluții. De exemplu, în sistemul de operare SEOS certificat de FSB.

Cum rămâne cu modulul TPM rus?

Noi și acum, în Rusia, există companii pe care plăcile de bază le sunt ordonate pentru proiectele lor. De exemplu, "Vărsător", "Korftvay", "platforme T", MCST și altele. Fiecare dintre ele este destul de capabil să proiecteze modulul TPM. Și cu siguranță va fi creat în curând, cu sprijinul algoritmilor crypografici calzi. Și acest lucru este important nu numai pentru întreprinderile de apărare, ci și pentru cercul larg. Consumatorii obligați să pună în aplicare prevederile Legii 152-FZ "pe datele cu caracter personal".

Și de ce germanii au acționat împotriva TPM 2.0 împotriva standardului?

Foarte simplu. Ei doresc să-și protejeze datele și tehnologia din Statele Unite. Amintiți-vă cum a apărut Suse Linux? Acest lucru sa întâmplat după ce sa dovedit că atunci când transferați documente de la un departament al Bundeswehr la alte informații, sa dovedit mai întâi să fie în NC. Apoi Suse Linux a fost creat în Germania, iar Departamentul a fost transferat la locul de muncă din acest sistem de operare.

În Linux, pornind de la kernel 3.2, este anunțat și suport pentru TPM 2.0. Dar poate fi oprit. Și în ferestre, nu este peste opt. Windows este un sistem de operare foarte convenabil pentru utilizator. Ea este gândită remarcabil. Zeci de mii de programatori lucrează pentru a se asigura că utilizatorii sunt confortabili și confortabili. Dar orice schimbare care este impusă forțat, spunând că este pentru siguranța dvs., tulpini. Atât specialiști, cât și funcționari și guvern.

Pentru a nu fi frică de TPM, trebuie să faceți o cercetare specială, să verificați și să aflați dacă există ceva periculos sau nu. Aceasta este o procedură complet standard. Uneori se face cu ieșire pentru producție. aceasta practica normalăCând reprezentanții țării vin în țara producătorului și ceva timp stă în producție, dezasamblate în procese.

Și cine o va face?

Poate fi interesant pentru companiile comerciale mari. Cred că unele lucrări de cercetare într-un astfel de format merge deja. Și acest lucru nu este interesant pentru stat, deoarece nu există nici o criptografie acolo, deci nu există module existente pentru industriile de apărare.

Este posibil să utilizați computerele cu TPM în agențiile guvernamentale?

Utilizarea TPM în agențiile guvernamentale este destul de complicată. Cred că în următoarele ediții, TPM va avea deja posibilitatea înlocuirii criptoalgoritmului. Puteți relua deja BIOS-ul și puteți adăuga componentele dvs. Așa că va fi în TPM. În ceea ce privește utilizarea curentă în sectorul public, este prea devreme să vorbim despre asta. Dar pentru a studia capacitatea capacității de a pune în aplicare standardul. Și este necesar să participe la dezvoltarea următoarei versiuni. Pentru a putea să coase criptografia noastră în TPM-ul altcuiva.

... În general, poziția este de înțeles. TPM este un nou nivel în securitate. Statul va decide cumva problema apărării, iar restul va fi folosit de ceea ce este. În cele mai multe cazuri, TPM va proteja (în aceste aspecte de protecție pe care TPM le oferă) și încă nu se ocupă de atenția fratelui mare.

Consorțiul în sine, care a început ca un proiect pur american, se extinde. ÎN în prezent TCG include 11 membri în stare promotor (AMD, Cisco, Fujitsu, HP, IBM, Intel, Ilied, Lenovo, Microsoft și Wave Systems) și 74 de membri în statutul de contribuitor. Companiile japoneze și chineze au apărut în aceste liste. Dar nu există încă reprezentanți ai ruși.

Libertate sau securitate? Timpurile existențialiștii lui Sartra și Cami, care au ales "Drumurile de libertate" și au studiat omul liber în picioare pe marginea "nimic", a intrat în trecut împreună cu secolul trecut. Majoritatea oamenilor au ales securitatea. Și acum argumentează numai despre lungimea leșiei. Deci, pentru utilizatorul de masă, problema TPM nu există. Dar statul nu ar trebui să fie indiferent față de această problemă, în a cărei leșie este structurile sale de stat. Și și cetățenii săi.

Modul de platformă de încredere.

ÎN tehnologie de calcul, Modul de platformă de încredere. (TPM) - numele specificației care descrie criptoprocesorul în care sunt stocate cheile criptografice pentru a proteja informațiile, precum și numele generalizat al implementării specificațiilor specificate, de exemplu, sub formă de "cip TPM" sau " Dispozitiv de securitate TPM "(Dell). Folosit pentru a fi numit "chip fritz" (fostul senator Ernest "Fritz" Hollings cunoscut pentru el hot suport Sisteme de protecție a drepturilor de autor pentru informații digitale, DRM). Specificația TPM a fost dezvoltată de grupul de computere de încredere (în engleză). Versiunea curentă a specificației TPM - 1.2 Revizuirea 116, ediția 3 martie 2011.

Revizuire scurtă

Modulul de platformă de încredere (TPM), un criptoprocesor, oferă mijloacele de creare sigură a tastelor de criptare capabile să limiteze utilizarea cheilor (atât pentru semnătură, cât și pentru criptare / decriptare), cu același grad de incompatibilitate ca generator de numere aleatorie. De asemenea, acest modul include următoarele caracteristici: certificarea la distanță, legarea și stocarea sigură fiabilă. Certificarea la distanță creează conexiunea hardware-ului, a încărcării sistemului și a configurației gazdă (calculator OS), permițând o terță parte (ca un magazin de muzică digitală) să verifice către software., sau muzica încărcată din magazin nu a fost modificată sau copiată de către utilizator (a se vedea TSZP). Cryptoprocesorul criptează datele în acest mod că ele pot fi decriptate numai pe computerul în care au fost criptate, alergând același software. Legarea criptează datele utilizând cheia de confirmare a TPM - cheie unică RSA înregistrată în cip în procesul de producție sau o altă cheie care este de încredere.

Modulul TPM poate fi utilizat pentru a confirma autenticitatea hardware-ului. Deoarece fiecare cip TPM este unic pentru un dispozitiv specific, acesta face posibilă autentificarea unică a platformei. De exemplu, pentru a verifica dacă sistemul la care este disponibil accesul este sistemul așteptat.

Arhitectura TPM

Următorii algoritmi de protecție sunt implementați în arhitectura chipului:

  • gestionarea memoriei protejate,
  • criptare anvelope și date,
  • ecranul activ.

Schimtarea activă permite cipul să detecteze testarea electrică și, dacă este necesar, să blocheze cipul. În plus, în fabricarea TPM, se utilizează pași tehnologici non-standard, cum ar fi confuzul topologiei stratului IP. Aceste măsuri sunt semnificativ complicate de hacking cip, de a spori costul hacking, ceea ce duce la o scădere a potențialilor intruși.

Intrare / ieșire (ing. I / O)

Această componentă controlează fluxul de informații din autobuz. Trimite mesaje la componentele corespunzătoare. Componenta I / O intră în politica de acces asociată cu funcțiile TPM.

Procesor criptografic

Operații criptografice în interiorul TPM. Aceste operațiuni includ:

  • Generarea cheilor asimetrice (RSA);
  • Criptare / decriptare asimetrică (RSA);
  • Hash (SHA-1);
  • Generarea de numere aleatorii.

TPM utilizează aceste posibilități de generare a secvențelor aleatorii, generând chei asimetrice, semnătura digitală și confidențialitatea datelor stocate. De asemenea, TPM acceptă criptarea simetrică pentru nevoile interne. Toate tastele stocate în vigoare trebuie să se potrivească cu biții cheie RSA 2048.

Memorie non-volatilă (ENG. Depozitare non-volatilă)

Folosit pentru a stoca cheia de confirmare, cheia rădăcină (tasta rădăcină de stocare în limba engleză, SRK), datele de autorizare, diferite steaguri.

Cheia de confirmare (eng. Cheie de aprobare, EK)

Generatorul Keys RSA (eng. Generator cheie RSA)

Creează o pereche de chei RSA. TCG nu impune cerințele minime pentru timpul generatoarelor cheie.

Dispozitiv RSA (Eng. RSA Motor)

Utilizate pentru semnături și criptare digitale. Nu există restricții privind implementarea algoritmului RSA. Producătorii pot folosi teorema chineză despre resturi sau orice altă metodă. Lungimea minimă recomandată este de 2048 biți. Valoarea expozanților deschisi ar trebui să fie.

Platformă de încredere (Ing. Platforma de încredere)

În sistemele TCG, rădăcinile de încredere sunt componente care trebuie să fie de încredere. Un set complet de rădăcini de încredere are funcționalitatea minimă necesară pentru a descrie platforma, care afectează procura la această platformă. Există trei rădăcini de încredere: rădăcină de încredere pentru măsurători (RTM), rădăcină de încredere pentru stocare (RTS) și rădăcină de încredere pentru mesaje (RTR). RTM este un mecanism de calcul care produce măsurători fiabile ale integrității platformei. RTS este un mecanism de calcul capabil să păstreze valori de integritate hashing. RTR - un mecanism care raportează în mod fiabil informațiile stocate în RTS. Datele de măsurare Descrieți proprietățile și caracteristicile componentelor măsurate. HASI din aceste măsurători - un "instantaneu" al stării computerului. Depozitarea lor este efectuată de funcționalitatea RTS și RTR. Comparând hash-ul valorilor măsurate cu starea de încredere a platformei, puteți vorbi despre integritatea sistemului.

Aplicații posibile

Autentificare

TPM poate fi considerat ca un token (jeton de securitate) al autentificării generației următoare. Cryptoprocesorul acceptă autentificarea și utilizatorul și computerul, oferind acces la rețea numai de utilizatori autorizați și de computere. Acest lucru poate fi utilizat, de exemplu, atunci când protejați e-mailul bazat pe criptare sau semnătură utilizând certificate digitale asociate cu TPM. De asemenea, eșecul parolelor și utilizarea TPM vă permite să creați modele de autentificare mai puternice pentru accesul cu fir, fără fir și VPN.

Protecția datelor de la furt

Acesta este scopul principal al "containerului protejat". Dispozitivele de îmbinare în sine implementate pe baza specificațiilor grupului de calcul de încredere fac ca criptarea încorporată și controlul accesului la date. Astfel de dispozitive oferă o criptare completă a discului, protejând datele atunci când pierd sau furați un computer.

Beneficii:

  • Îmbunătățirea performanței
Criptarea hardware vă permite să acționați cu toate gama de date fără pierderea performanței.
  • Amplificarea securității
Criptarea este întotdeauna activată. În plus, cheile sunt generate în interiorul dispozitivului și nu lasă niciodată.
  • Costuri reduse de costuri
Nu sunt necesare modificări ale sistemului de operare, aplicații etc.. Pentru criptare, resursele procesorului central nu sunt utilizate.

Perspectivele mari au o grămadă de TPM + BitLocker. Această soluție vă permite să transmiteți transparent întregul disc.

Controlul accesului la rețea (NAC)

TPM poate confirma autenticitatea computerului și chiar și performanța acestuia chiar înainte de a primi accesul la rețea și, dacă este necesar, puneți un computer în carantină.

Schimbarea protecției

Certificarea codului programului va proteja jocurile de la Cheaterism și programe sensibile cum ar fi bancare și clienții poștali - de la modificarea intenționată. Imediat, adăugarea "calului troian" va fi oprită în instalatorul de mesagerie proaspăt.

Protecția copiilor

Protecția copiilor se bazează pe un astfel de lanț: programul are un certificat care îl oferă (și numai acesta) la cheia de decodificare (care este stocată și în TPM). Acest lucru oferă protecție împotriva copierii care nu poate fi ocolită software-ul.

Vânzări

Producătorii

Deja mai mult de 300 de computere "000" 000 au fost echipate cu un cip TPM. În viitor, TPM poate fi instalat pe astfel de dispozitive ca celulare. Microcontrolerele TPM sunt fabricate de următoarele companii:

  • Sinosun.
  • Nuvoton,

Critică

Modulul platformei de încredere este criticat pentru nume (încredere - engleză. Încredere. - Întotdeauna reciproc, în timp ce utilizatorul, dezvoltatorii TPM și nu au încredere) și pentru încălcarea libertății asociate cu aceasta. Pentru aceste încălcări, dispozitivul este adesea numit Calculul trădător ("Calcule înșelătoare").

Pierderea calculatorului "posesiei"

Proprietarul calculatorului nu mai poate face nimic cu el, trecând o parte din drepturile producătorilor de software. În special, TPM poate interfera (datorită erorilor în software sau soluții intenționate de dezvoltatori):

  • transferați datele către un alt computer;
  • alegeți gratuit software-ul pentru computerul dvs.
  • procesați datele existente prin orice programe disponibile.

Pierderea anonimatului

Este suficient să ne amintim litigiile despre numărul de identificare al procesorului Pentium III pentru a înțelege ce poate cauza un identificator de calculator de la distanță și nemodificat.

Suprimarea concurenților

Programul care a devenit lider al industriei (ca AutoCAD, Microsoft Word sau Adobe Photoshop) poate stabili criptarea dosarelor sale, ceea ce face imposibilă accesul acestor fișiere prin programe ale altor producători, creând astfel o potențială amenințare la adresa concurenței gratuite în cererea de cerere Software-ul de aplicație.

Spargere

Când defalcarea TPM, containerele protejate sunt inaccesibile, iar datele din ele sunt mai puțin frecvente. TPM este practic numai dacă există un sistem complex de backup - în mod natural, pentru a asigura secretul, ar trebui să aibă propriile sale TPM-uri.

Hacking.

La conferința de securitate a calculatorului Black Hat 2010 a fost anunțată o hacking a cipului Infineon SLE66 CL PE, fabricat de specificația TPM. Acest cip este folosit în computere, echipamente comunicații prin satelit și console de jocuri. Un microscop electronic a fost folosit pentru hacking (în valoare de aproximativ 70.000 de dolari). Cochilia de cip a fost dizolvată cu acid, cele mai mici ace au fost folosite pentru a intercepta comenzile. Infineon argumentează că știau despre posibilitatea cipului de hacking fizic. Borchert (Borchert), vicepreședinte al companiei, a asigurat că echipamentul scump și complexitatea tehnică de hacking nu reprezintă pericole pentru majoritatea covârșitoare a utilizatorilor de jetoane.

Securitatea informațiilor: Modul de platformă de încredere și pilula roșie. Partea 2.

Articol:

De la funcția editorială a portalului VM Guru: Acest articol din Andrei Lutsenko, un specialist în domeniul securității informațiilor, inclusiv medii virtuale, ne spune despre vulnerabilitatea potențială a multor complexe de software și hardware de la stațiile de lucru la sistemele de servere. În opinia noastră, materialul este unic, interesant și relevant până în prezent pentru multe medii care necesită o atenție sporită la securitatea informațiilor. Îi mulțumim lui Andrei pentru materialul valoros furnizat. Pentru a contacta autorul, utilizați secțiunea Informații "".

Folosind un hipersdraver, puteți controla protocoalele de lucru diferite dispozitiveÎn plus, chiar și dispozitivele destinate protejării sistemelor de calcul care au sisteme speciale de protecție din intervenția ilegală nu sunt doar module TRM, ci și diverse carduri inteligente, tot felul de jetoane.

Versiunea demo a hipersdrierului "PILL RED" din controlul dispozitivului este modificată și manipulatori specifici care controlează spațiile de adresă ale modulului TRM sunt atârnate pe platforma de virtualizare, încercând să contacteze aceste resurse hardware, Hyperther înregistrează aceste evenimente Dumpul, dumpul poate fi vizualizat printr-un hiperagent.

În plus față de înregistrarea unui eveniment hardware, adresa comenzii din modulul software efectuează acest apel la echipament. Hyperagent vă permite să vizualizați aceste module software și, dacă este necesar, să le salvați în fișier pentru o analiză ulterioară.

Cel mai comun software.Folosind modulul TRM pentru stocarea cheilor de criptare este bitlocker tocmai la locul de muncă al acestui program și observă hipersdrierul "pilula roșie" în ecranul de mai jos.

Protocolul lucrării mușcherului cu modulul TRM

Inițial, bitchkerul (la scena de încărcare OS) utilizează funcțiile BIOS pentru a citi cheile de criptare din modulul TRM, lucrarea trece prin spațiul de adresă a porturilor I / O.
După încărcarea kernel-ului OS, sistemul de operare începe să funcționeze cu modulul conform Protocolului 1.2., Iar schimbul de informații este schimbat prin spațiul de adrese MMIO.

Protocolul de activare a modulului TRM (Faceți clic pentru a implementa o imagine)

De asemenea, administrarea controlată a modulului TRM special windows Service.De exemplu, protocolul de inițializare este înregistrat de un modul TRM Pure și introduceți cheia de activare în acesta. Prin analogie, puteți citi cu ușurință modulul TRM și alte chei de criptare, activare, dar acestea sunt doar acele chei pe care modulul TRM se schimbă de la sistemul de operare. Cheile care nu părăsesc modulul TRM, puteți citi prin înregistrarea protocolului copie de rezervă Pe suportul extern al conținutului modulului TRM.

Din textul anterior poate părea că acest subiect Nu este relevant pentru țara noastră, deoarece modulele TRM sunt interzise pentru utilizare, iar alte instrumente de import pentru protecția informațiilor sunt aplicate numai pentru date confidențiale.

Baza securității informațiilor rusești este modulele încărcării de încredere (MDZ) ale tipului "Accord", Saby, etc. În plus, metode de deconectare impenetrabile rețele locale Din liniile externe ale accesului la Internet privind planurile de arhitecți ai sistemelor de securitate a informațiilor, toate riscurile de penetrare externă sunt complet eliminate.

Dar, " OH DOAMNE"Aceste fonduri impenetrabile ale ingineriei rusești și a gândirii administrative sunt ușor de ocolit de hipers și protecție simțit pe cusături (protecția însăși a fost mult timp mult timp - există doar o afacere de milioane de dolari).

În plus, securitatea informațiilor, ca Institutul de Politică de Stat, a devenit o ficțiune completă, - în cadrul Vechiului Rusuză: "Severitatea legilor este compensată de opțiunea de executare a acestora".

Exemplu specific:

Utilizarea criptografiei și a instalațiilor din Rusia care conține astfel de fonduri în compoziția sa este posibilă numai pe baza unei licențe (Decretul președintelui Federației Ruse din 3 aprilie 1995) sau notificări.

În acest model, producătorul stabilește modulul TRM cu privire la taxă și furnizează un laptop în Rusia pentru procedura de notă, raportând că acest aparat Dezactivat de către producător la etapa de producție:

Pe placa CF-52, modulul TRM fabricat de Infineon SLB 9635 TT1.2 este instalat

În acest model scump și avansat al laptopului TRM, modulul poate fi fabricant în sistemul de operare cu manipulări non-turație cu tabelele ACPI BIOS, care se demonstrează mai jos.

Din diapozitivele de mai sus, se poate observa că importatorul în notificarea sa a crescut și a controlat Organele de stat "Norocos".

În plus, permisiunea de a importa pretins de module TRM reprezintă o amenințare gravă la adresa securității informațiilor din țară, deoarece aceste module TRM "deconectate" sunt utilizate de sisteme telecomandă Instalații de calcul de la un laptop la server inclusiv. În sisteme telecomandă Ele sunt responsabile pentru rezolvarea nodului la distanță pentru a obține controlul asupra instalației de calcul.

Dar suficient despre trist, există o zonă în care tehnologia virtualizării hardware poate ajuta serios. De fapt, este posibil dacă nu puneți o cruce asupra virușilor, complici în mod serios viața dvs. (este pe viruși și nu troieni și alte gunoi ale tulburării și incompetenței utilizatorului).

Descrierea hiperdrailerului pentru a rezolva această sarcină nobilă anti-virus va fi dată în următorul articol.

Activați JavaScript pentru a vizualiza

Module de platformă de încredere (module de încredere) sunt chips-uri mici care servesc la protejarea datelor și au fost utilizate în computere, console, smartphone-uri, tablete și receptor. În prezent, chipsurile TPM sunt echipate cu aproximativ miliarde de dispozitive, iar 600 de milioane sunt PC-uri de birou.

Din 2001, susținătorii "Teoria conspirației" au început să ia în considerare chips-urile ca instrument de control, permițând să limiteze drepturile utilizatorului: teoretic, pot fi utilizate, de exemplu, așchii TPM, pentru a limita copierea ilegală a filmelor și a muzicii. Cu toate acestea , în ultimii 12 ani nu a existat un astfel de caz.. Mai mult, Windows utilizează un modul similar pentru descărcare securizată și criptare a datelor. hard disk prin bitlocker. Astfel, TPM oferă un avantaj în lupta împotriva dalității și a furtului de date.

În ciuda tuturor acestor lucruri, specificația versiunii 2.0 a atras o mulțime de atenție, deoarece acum jetoanele TPM funcționează "în mod implicit" (mai devreme, utilizatorul necesar pentru a le activa independent). Aparent, va fi în curând dificil să se găsească în vânzare fără TPM 2.0, deoarece Microsoft a modificat criteriile de certificare pentru Windows. Din 2015, standardul TPM 2.0 este obligatoriu pentru toți, altfel producătorul de hardware nu va primi confirmarea certificării.

TPM Manager în fereastra panoului managementul Windows. Afișează starea și versiunea cipului TPM

TPM Chip garantează siguranța sistemului

Cel mai. mod eficient Protecția sistemului care exclude posibilitatea penetrării hackerului este utilizarea unui cip hardware TPM. Este un mic "calculator într-un computer": un modul de încredere cu propriul dvs. procesor, berbec, de stocare și interfață I / O.

Sarcina principală a TPM este de a furniza sistemul de operare cu servicii sigure garantate. De exemplu, TPM Chips Store Cryptocluts utilizate pentru criptarea datelor pe hard disk. În plus, modulul confirmă identitatea întregii platforme și verifică sistemul pentru posibila intervenție a hackerilor la funcționarea hardware-ului. În practică, TPM în tandem cu boot-ul UEFI Secure oferă utilizatorului un proces complet protejat și sigur de pornire a sistemului de operare.

Etapa pe care este încărcată de un dezvoltator terț ( scaner anti-virus), Microsoft indică atât portbagajul măsurat. Pentru lansarea timpurie a driverului anti-malware, lansarea timpurie a programului anti-theroneal) de la dezvoltatorii anti-virus Microsoft oferă semnătura sa. Dacă lipsește, UEFI întrerupe procesul de încărcare. Kernel-ul verifică protecția anti-virus la pornire. Dacă driverul Elam este testat, kernel-ul recunoaște driverele reale și alte drivere. Acest lucru elimină posibilitatea ca rootkit-urile să influențeze procesul descărcări Windows. Și "profitați de situație" când scanerul antivirus nu este încă activ.

Specificația precedentă TPM 1.2 utilizată tehnologia depășită cu algoritmii de criptare RSA-2048 și SHA-1 încorporați în hardware (acesta din urmă este considerat nesigur). În loc să se utilizeze algoritmi strict definiți în chips-urile TPM în versiunea 2.0, pot fi furnizate metode de criptare simetrice și asimetrice. De exemplu, SHA-2, HMAC, ECC și AES sunt disponibile în prezent. În plus, în TPM 2.0 prin actualizarea, puteți adăuga suport pentru noii criptoalgoritmi.


TPM chipsuri generează chei pentru bitlocker - sisteme de criptare Windows

Abordarea cheie sa schimbat, de asemenea,. Dacă mai devreme două chei criptografice au fost implicate ca o bază pentru toate serviciile oferite, atunci TPM 2.0 funcționează cu foarte mare numere aleatoare - așa-zis primar. În același timp, cheile dorite sunt generate prin intermediul funcțiilor matematice utilizând numerele inițiale ca date sursă. TPM 2.0 oferă, de asemenea, posibilitatea de a genera taste numai pentru o utilizare unică.

Nu a găsit un răspuns la întrebarea dvs.? Uita-te aici
Firmware pentru HTC One SV de la Flash DriveFirmware pentru HTC One SV de la Flash Drive
De ce se încălzește laptopul și ce să facă?De ce se încălzește laptopul și ce să facă?
Resetați la Factory Samsung Smartphone-uriResetați la Factory Samsung Smartphone-uri